В модуле ядра Linux, обеспечивающем работу сетевого протокола TIPC (Transparent Inter-process Communication),  выявлена уязвимость (CVE-2022-0435), потенциально позволяющая выполнить свой код на уровне ядра через отправку специально оформленного сетевого пакета. Проблема затрагивает только системы с загруженным модулем ядра tipc.ko и настроенным стеком TIPC, который обычно используется в кластерах и по умолчанию не активирован в неспециализированных дистрибутивах Linux...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56678

• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:30 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,kusb, 12:33 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:34 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:16 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:17 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 13:17 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:42 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 16:33 , 11-Фев-22
          • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Андрей, 17:19 , 11-Фев-22
          • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 18:37 , 11-Фев-22
            • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 19:54 , 11-Фев-22
              • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 20:04 , 11-Фев-22
                • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 21:04 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:14 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:17 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 16:36 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,жорик, 18:47 , 11-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:34 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:35 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:48 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:41 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:30 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 20:20 , 11-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 12:34 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Oe, 13:05 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 13:09 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:28 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Компьютер, 09:59 , 15-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 03:07 , 17-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Анонн, 13:10 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 14:40 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Анонн, 15:09 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:25 , 11-Фев-22
          • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:40 , 11-Фев-22
            • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:47 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 18:28 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,да не важно, 15:18 , 11-Фев-22
        • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:44 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:42 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Ordu, 20:27 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 13:16 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:15 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 15:43 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Ordu, 20:42 , 11-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Анонн, 13:24 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 13:47 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 14:16 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Самокатофил, 18:32 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,anonymous, 12:19 , 12-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Анонн, 13:48 , 11-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,лютый жабби__, 14:05 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,лютый жабби__, 14:06 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 14:14 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Alex_K, 18:03 , 11-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 14:27 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 16:41 , 11-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Анонн, 17:09 , 11-Фев-22
      • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 10:30 , 19-Фев-22
• Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 19:32 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 21:22 , 11-Фев-22
  • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,InuYasha, 02:10 , 12-Фев-22
    • Удалённая уязвимость в ядре Linux, проявляющаяся при использ...,Аноним, 05:45 , 12-Фев-22

Хорошо что у меня 2.4
От всех бед защищает
(Даже 12309 не карает)

Ничего себе) Как оно работает?

С древним GLibc, следовательно, с древними версиями софта, следовательно, с непатченными дырками.

У 2.4 в 2016 EoF случился, так что не такой и древнее ядро получается

*EoL

Мне запустить что-нибудь из 2.4 в виртуалке с настроенным фаером, дать тебе IP, и ты сломаешь меня полностью? Или убежишьив кусты, как с вбросом про palemoon?

Да.

Я-то ломанием не занимаюсь, но есть те, кто занимаются.

Ага... слышал я звон, но не знаю где он. Слыхал еще что другие об этом знают...

И словно мухи, тут и там,
Ходят слухи по домам,
А бяззубые старухи их разносют по умам,
Их разносют по умам...

Ну, дружище, под таким предлогом вам можно продать что угодно, даже докер для докера, проверяющий докеры. А, погодь, мы уже.

Ну вообще это не сложно наверно, надо всего лишь накачать доисторических эксплойтов, а там и рут в один клик и всё остальное будет. Вопрос, откуда их накачать, за неактуальностью все давно выкинули отовсюду. А кто-то не выкинул. Самому пилить довольно дорого, пусть даже и по известным уязвимостям, потребуется много времени. Особенно для человека, который не занимается этим профессионально. И уязвимости вида дыра с исполнением произвольного кода с правами ядра в пакете на закрытый порт вещь не частая, но их довольно много было. В любой ОС даже.

Полагаю вы гомо-теоретикус. Словить неуловимого джо, c запретом на входящие (+-), и с каким-нибудь dillo/netsurf/elinks -g в качестве клиента, ходящим на одни и те же сайты, это из такой области вероятности, что скорее вашу сесуриту злые хакеры открекают в блеединг эйдж. Простите за французский.

Толку то с запретов, если такие дыры есть и они не зависят от файрвола? И то, что ничего не запущено, не спасёт. А дилло и прочие люто дырявые, там даже без скриптов уязвимости в дом-парсере находят, с таблицами стилей вообще всё печально тоже. Зачем сознательно выставлять свою пятую точку на всеобщее растерзание? Ко мне, например, каждые 5 секунд ломится какой-нибудь из ботнетов, причём каждый раз с нового айпи (если верить сурикате). Знал я таких кадров, которые сидят на 95 венде и считают себя неуязвимыми в интернете.

Стабильно. Машина на 3 пне тут свежий софт не нужен

В вантузе под вертуалачькай, естественно. У этих настоящих линуксоидов всё так работает.

Но зачем под виртулкой использовать 2.4?

да никто уже линукс не юзает. еще 10 лет назад прод переехал на OpenBased.

>Исправление уязвимости предложено в выпусках ядра Linux 5.16.9, 5.15.23, 5.10.100, 5.4.179, 4.19.229, 4.14.266 и 4.9.301.

А почему не исправили?

Потому что ещё не успели, обновления ядра опубликованы около часа назад.

Дядя. Читай внимательно цитирование.

Что значит не исправили? Исправление предложено (широкой общественности) В выпусках ядра ***. То есть эти выпуски и содержат исправление, предлагается перейти на них. Не стоит воспринимать как "исправление было предложено (в виде патча) ДЛЯ ядер ***", тогда это действительно бы означало что исправления еще не вошли в эти ветки, а базируются на них.

> Приводящая к уязвимости ошибка была внесена 15 июня 2016 года
> Что значит не исправили? Исправление предложено (широкой общественности)

В 2022 году

Ваш денежный перевод еще не поспел ;)

>Уязвимость вызвана переполнением стека, происходящем при обработке пакетов

а то уже давненько не было ржавых срачей на опеннете

Как можно забыть проверить чёртов счетчик на соответствие??? Под чем нужно было писать этот код? Даже ардуинщик и то проверит.

А использовали б раст -- он бы и счетчики проверил, и знаки б не попутал.

> и счетчики проверил, и знаки б не попутал

Тонко, однако :) кто не в курсе - надо было подписать, что это сарказм: растаманы в FF как раз путались в знаках сравнения при проверке вхождения индекса в массив.

А теперь вот сидиоты облажались. Причём давно, а заметили только сейчас.

И что же произошло, переполнение стека? Можно линк на историю?

Ну да, просто все свести к растосрачу, вместо того чтобы просто подумать о компетентности погромистов ядра. Там кто-то недавно вспоминал бажину про перепутанный знак. Так это еще круче.

> Ну да, просто все свести к растосрачу, вместо того чтобы просто подумать

Ты наивный дурачок! На самом деле, полчища (невидимых никому кроме доблестных Военов Против Раста) Растоманов пытаются в _каждой_ новости промыть всем мозги и поработить Голактеку, а доблестные Воены Сопротивляния Расту каждый раз успешно отбивают атаки!
Иногда (ну ладно, почти всегда) превентивно, но ведь самая лучшая защита - это нападение! Вот!

--
Есть древняя легенда, сотканна в поэму,                                                  
Дошла до нас сквозь вереницы лет,                                                        
Как-то зайдя на Опеннет, Воен-за-Си увидел Расто-тему                                    
Там мерзкий Раст бесстыже был воспет!                                                    
Свой Боевой Пукан вперед направив,                                                      
Воен открыто пуукнул во Врага!                                                            
Но Растоман, не соблюдая честных правил                                                  
В ответ плеснул вонючим смузи сподтишка.                                                
Воен едва, лишь чудом увернулся,                                                        
Ему по сути просто повезло ...                                                          
Вот с той поры Воены сражаются и срутся,                                                
И много тонн овна по форуму стекло.                                                      
Пусть кажется, что Воены побеждают,                                                      
Не будет скоро в мире Расто-Зла,                                                        
Но Растоманы подлые никак не умирают,                                                
Что раскаляет Военов пуканчик до красна!

Я неиллюзорно впечатлен насколько вам было не лень это писать...

> Я неиллюзорно впечатлен насколько вам было не лень это писать...

А я впечатлен, насколько не лень местным "Военам супротив Раста" в практически каждой новости "вспоминать" раст и устраивать грандиозный срач лишь для того, чтобы в новостях, хотя бы косвенно упоминающих раст, устраивать эпические срачи "против Раста", ссылаясь на Злобных Растоманов, устроивших срач "воон там вот". Попутно забивая всякую возможность осмысленной дискуссии.

Срачи как раз устраивают воены раста.  Ты бы уже сразу говорил что ты растофанатик.

> Срачи как раз устраивают воены раста.  Ты бы уже сразу говорил что ты растофанатик.

Да-да, отлично продемонстрированно в этой новости.
Кстати, всегда подозревал, что Самокатофил - на самом деле агент Растоманов!

> Я неиллюзорно впечатлен насколько вам было не лень это писать...

Бггг, я когда впервые столкнулся с "одой военам с растом", даже почувствовал малеха чувство вины, что перепинал кукуху какого-то доброго малого. А когда пошли вариации -- даж понравилось. :-D

соткана
"сподтишка" -- просторечная форма
докрасна

Глаза мои кровоточат.

> "сподтишка" -- просторечная форма

так и задуманно. "овно" и "пукан" ведь вас не смутило.
> соткана
> докрасна

Это да. Спасибо.

> Глаза мои кровоточат.

Могу предложить другой вариант:

Великий гнев Анонима охватил,                                                            
И пыл его с каждым выбросом метана разрастался,                                          
Он за поруганную участь Сишки мстил,                                                    
И против полчищ в̶о̶о̶б̶р̶а̶ж̶а̶е̶м̶ы̶х̶ Злобных Растоманов сра(ж̶а̶)лся!                              
                                                                                        
Мощнейший вспук, газ на расправу скор,                                                  
Но Растаманы отбивают нападенье!                                                        
Он, Аноним — защитник Сишных Лор,                                                        
А Злобный Растоман — хранит Смузийское Ученье!                                          
                                                                                        
Так Сишко-Воен с Растоманом в̶о̶о̶б̶р̶а̶ж̶а̶е̶м̶ы̶м в бою сошлись,                                  
И бьются в тучах кала, ввысь летящих!                                                    
Сверкает голый Анонима зад, красен,                                                      
Пукан мощён и раскалён!                                                                  
И участь неизбежная грозит                                                              
Немедля увидать владыку ада,                                                            
Тому, кто мощный пук не отразит                                                          
Надев противогаз не так, как надо!                                                      
                                                                                        
Но веру Анонимный Воен в анус свой имел                                                  
И полагал, что Растоманский Враг ему не равен,                                          
И трудно разобраться - кому его пукан Песнь Смертную пропел,                            
А кто в смертельной схватке был лишь тяжело отравлен!

И тут анальная фиксация, это что эпидемия?

> На самом деле, полчища (невидимых никому кроме доблестных Военов Против Раста) Растоманов пытаются в _каждой_ новости промыть всем мозги

Я не с крываюсь, не надо. И с удавольствием читаю все cpaчи. Не во всех учавствую конечно, но учавствую же и во многих.

> а то уже давненько не было ржавых срачей на опеннете

у модеров баттхёрт на ржавые холивары, они всё рыпают.
поэтому никакого интереса вести дискуссии про плюсы/минусы раста или го не остаётся.

как у д.ю. на тупичке: всех здравых комментаторов забанили, остались только генераторы бессмысленной лапши и любители лизнуть главного.  администрация опасается гнева, видимо.

интересность ресурсов от таких мер всегда страдает.

>> а то уже давненько не было ржавых срачей на опеннете
> у модеров баттхёрт на ржавые холивары, они всё рыпают.

Потому что в лучшем случае аргументация против ржавчины напоминает анекдот про суровых лесорубов и японскую бензопилу
"Подсунули ей железный лом.
— КРЯК! — сказала пила.
— Ага, бля! — укоризненно сказали суровые лесорубы. И ушли дальше рубить лес топорами.
"
а в основном - откровенные глупости под видом тупеньких набросов и не менее тупенький ад-хоминем (см. "Растоманьки").

Человек в здоровом уме не будет смотреть гоблина лучше уж сразу соловьева.  Но если тебя у гоблина еще и забанили это даже не понятно с какой стороны дна ты находишься.

> поэтому никакого интереса вести дискуссии про плюсы/минусы раста или го не остаётся.

Интересу не осталось по тому, что всё уже было пережовано и не раз. Просто по кругу одно и то же по вторяют. Как появиться что-нибудь новое (если появиться), будет и дискуссия.

Ахаха, заголовок фикса "improve size validations".
"Improve"! Не "fix", не "patch" и даже не "reapair", а "improve"!
Какой прекрасный пример позитивного мышления. От создателей "не проблема, а возможность"...

Китайское слово "кризис"...

Опасность + возможность ?

Брооооо....

Это у Японцев.

Блин, был не прав. Там не только заголовок, там весь PR просто прекрасен:
"This potential problem was identified by Eric Dumazet."

Т.е. тебе указали на проблему с "Exploitation is trivial and can lead to denial of service via kernel panic. [... or ] can lead to control flow hijacking with an arbitrary
payload." И после этого у тебе хватает наглости писать "POTENTIAL problem".

Надо будет внимательно почитать сообщения к другим CVE))

Ничего непонятно, даже по ссылкам - модуль этот по умолчанию не загружается и значит мы в безопасности?

по факту не remote, а local (надо чтобы злодей сначала включил tipc)

неверно.
злодей его не включит, этот модуль не автоподгружается

Шеф, у нас дыра в безопасности... :)

> , эксплуатация ограничивается аварийной остановкой работы (ядро впадает в состояние panic)

Киллерфича)

КО: Про дыры Windows здесь просто не пишут или пишут редко. Только про самые-самые.

М... расскажи какого новости про винду должны быть на сайте "Проект OpenNet - всё, что связано с открытым ПО, открытыми технологиями, Linux, BSD и Unix" ?

Например их тут быть не должно от слова совсем.

Если бы С не существовал, его надо было придумать. Сколько же поколений быдлокодеров было на нём взрощено...

Вы к какому поколению относитесь?

Вы ангаром ошиблись - быдлокодеров растили на бейсике, немного об.паскале, а потом дотнете, жаве.. да, и на Экселе. )

есть еще 1c